Publicité en cours de chargement...

Publicité en cours de chargement...

Achetez mon Zero Trust, il est beau mon Zero Trust !

01 juin 2021 - 02:59,
Tribune - Charles Blanc-Rolin
Contrairement à ce que certains commerciaux voudraient nous faire croire, tout comme la conformité au RGPD, le Zero Trust, n’est pas une solution commerciale sur étagère !

Inondant les plaquettes publicitaires et faisant le buzz sur les salons ces dernières années, le Zero Trust est-il encore une mode farfelue ou apporte-t-il vraiment quelque chose ?

L’approche Zero Trust, imaginée par John Kindervag [1] il y a plus de dix ans déjà ! Peut-être que sans le savoir, vous faites déjà du Zero Trust depuis plusieurs années. Bon, si votre SIH se « limite » à un réseau interne avec vos serveurs, postes clients, dispositifs médicaux et GTC, une DMZ pour vos machines exposées sur Internet et un pare-feu entre les deux, on peut dire que votre approche a une bonne trentaine d’années de retard ! Vous avez mis en place des VLANs routés par vos cœurs de réseau ? Vous ne savez pas ce que sont des ACL ? Vous avez toujours vos trente ans de retard… Rien d’incurable, mais votre SI de santé risque d’être très malade si un attaquant déboule sur le réseau.

Zero Trust est le digne héritier du principe de « Dé-périmétrisation » [2] initié par Jon Measham et le Jericho Forum [3]. Il se résume assez simplement :

- je ne fais pas confiance à mes réseaux internes

- je ne fais pas confiance à mes terminaux

- je ne fais pas confiance à mes utilisateurs

Par conséquent, je dois appliquer les mêmes règles de sécurité à mes réseaux internes, que j’applique à mes machines exposées sur Internet.

Autant dire que quand un éditeur bien connu arrive avec sa procédure d’installation pour une application médicale vendue en 2021 en vous disant, pour une connexion sur un réseau interne, pas besoin de chiffrer les flux : connexion HTTP à l’application, interconnexion LDAP avec votre annuaire, échange de fichiers via FTP et envoi de messages via SMTP, il est à l’opposé du Zero Trust… du coup, adoptez la démarche Zero Trust et adaptez-là à la vraie vie ! Ne lui faites pas confiance !

Quand on pense qu’on impose des certifications HAS à nos établissements de santé et qu’on laisse des éditeurs leur vendre à prix d’or de telles cochonneries… Comment avoir confiance dans ce « Kaa » ? Voilà pourquoi nous sommes, allons ou devons tous devenir, des aficionados du Zero Trust.

Micro-segmentation, filtrage, chiffrement et supervision des flux, limitation au strict nécessaire des droits et accès, bastions d’administration, authentification multi facteurs, sandboxing, sont des exemples d’actions qui pourront grandement nous aider dans cette démarche. Bien sûr, l’achat de solutions matérielles et logicielles seront nécessaires dans certains cas, mais sortir le carnet de chèques ne vous permettra pas forcément de sécuriser votre SI. Si vous n’avez jamais appris à conduire, même en achetant une formule 1, vous ne deviendrez pas pilote de course...


[1] 

[2] 

[3]  

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Dedalus France : une nouvelle étape dans la trajectoire de transformation

Dedalus France : une nouvelle étape dans la trajectoire de transformation

24 juin 2025 - 07:50,

Actualité

- DSIH

Dedalus France annonce le départ de Frédéric Vaillant, Directeur Général Délégué, au 30 juin 2025, après plus de 25 ans d’engagement. Fondateur de Medasys, acteur central des grandes étapes de structuration de l’entreprise, il a contribué à façonner Dedalus France comme acteur majeur du numérique en...

Illustration HLTH 2025, un Salon sous le signe de l’innovation distribuée

HLTH 2025, un Salon sous le signe de l’innovation distribuée

23 juin 2025 - 21:18,

Actualité

- DSIH, Mehdi Lebranchu

HLTH Europe 2025, qui s’est tenu cette année à Amsterdam, a offert un panorama dense et incarné de l’écosystème européen de la santé numérique. Le Salon a rassemblé géants technologiques, institutions publiques, start-up prometteuses et hôpitaux à la recherche de nouveaux modèles de collaboration. U...

Illustration Cour de cassation versus RGPD : 2-0. Et ce n’est pas une bonne nouvelle !

Cour de cassation versus RGPD : 2-0. Et ce n’est pas une bonne nouvelle !

23 juin 2025 - 18:14,

Tribune

-
Cédric Cartau

Ça fait deux fois.

Illustration Approche hétérodoxe du concept de risque résiduel

Approche hétérodoxe du concept de risque résiduel

02 juin 2025 - 22:42,

Tribune

-
Cédric Cartau

Vous voulez être le bon élève de l’auditeur 27001 qui vient constater, de visu, comment vous mettez en œuvre un SMSI. Le bon élève, avec les félicitations, le bisou sur le front et le petit papier qui va bien.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.